www.epurchasenet.com pirate hotmailFermé

Question

Bonjour,

Aujourd'hui j'ai reçu un mail de mes parents.
Le problème ? : ce n'est pas eux qui l'ont envoyé et tous leurs contacts l'ont reçu !

Voici le contenu du mail (ayant pour objet "RE hi") :

Heya,how are you doing recently ? I would like to introduce you a very good company which i knew.Their website is  www.epurchasenet.com   .They can offer you all kinds of electronical products which you need like laptops ,gps ,TV LCD,cell phones,ps3,MP3/4,motorcycles  etc........Please take some time to have a check ,there must be somethings you 'd like to purchase .
Their contact email: epurchasenet@188.com.  MSN: e_purchasenet@hotmail.com 
Hope you have a good mood in shopping from their company !
Regards

C'est donc une pub qui se sert du compte hotmail de mes parents pour être diffusée.

Trois hypothèses :
     - la faille de sécurité se trouve sur l'un des deux PC que mes parents utilisent pour se connecter à leur compte hotmail (via windows live messenger) et il est donc judicieu de formater ces deux PC
     - la faille se trouve sur les serveurs hotmail auquel cas, je ne peux rien y faire à part cloturer le compte et en faire un autre
     - la faille ne se trouve nulle part aujourd'hui et il y en a eu une à un moment qui a permis au système frauduleux de choper l'ID et le mot de passe du compte de mes parents.

Pour info, ce n'est pas la première fois que cela arrive sur leur compte, parfois même à des heures de la nuit ou aucun PC n'est allumé (en même temps je dis cela par rapport à l'heure de réception des mails mais cette heure est-elle fiable avec des décallages horaires ?). La seule différence c'est que ce n'était pas le même site qui se fesait la pub sur leur dos.

Ils utilisent Windows XP avec Internet Explorer.

Je fait des nettoyages réguliers avec CCleaner, j'ai scanné avec Avast leur antivirus, avec Spybot et AdAware mais rien n'a été trouvé sur aucun des deux PC.

Je fais donc appel à votre forum pour savoir que faire ?????

Merci de m'avoir lu en espérant que ça n'était pas trop fastidieux !

pimprenelle27 · Accepted Answer

Pour le 1er pc seulement : 

Télécharge GenProc sur ton bureau

Double-clique sur GenProc.exe

et poste le contenu du rapport qui s'ouvre à la suite de la question êtes vous aider par quelqu'un, répondre oui. Merci.

Voir  comment utiliser GenProc

Pour ceux qui ont Vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

IMPORTANT : Poste la procédure Genproc et ne fais rien d'autre pour l'instant ( souvent il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement )

Matthour · Answer

Et encore un message !!!

Cette fois-ci l'objet et "Hey friend&#8207;"

Hey friend,
 How are you doing recently? I'd like to introduce you a very good foreign trading online company and the website is www.sugefac.com
It can offer you so many kinds of electronic products which you may be in need,such as laptops, gps, TV, cell phones, ps, MP3/4, motorcycles even several kinds of musical instruments and etc..
You can take some time to have a check ,there must be something you are interested in and you 'd like to purchase .
The contacts:
Mail : sugefac@188.com
MSN  : sugefac@hotmail.com
Hoping you can enjoy your shopping from that company !
Regards

De la folie !!!

Par contre j'ai pensé à quelque chose : peu-être que le message n'est pas envoyé avec le compte (je sais qu'en php par exemple on peut envoyer des mails en mettant ce qu'on veut comme expéditeur).

Matthour · Answer

Encore moi...
La supposition que j'ai fait juste précédemment ne tient pas : ils ont reçu plein de messages de "postmaster" à cause d'adresses qui ne sont plus valides...cela prouve bien en tout cas que les messages sont émis de leur compte !!!

PCHEM01 · Answer

Bonjour tout le monde 
Je voulais savoir si vous avez une solution a ce pb car on a recu le même email avec plusier autre qui se suit 
merci

pimprenelle27 · Answer

Bonjour,

Télécharge :

-  MSNFix (!aur3n7) et décompresse-le sur le Bureau.

Regarde bien le Tuto Ici

Ensuite :

Redémarre en mode sans échec comme indiqué  ici ;  Choisis ta session courante.

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau. 

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs


Le rapport sera enregistré dans C:\Windows\ sous le nom de MSNFix


Mais il n'y aura pas que ça à faire il faudra vérifier s'il n'y a as d'autre infection.

PCHEM01 · Answer

Bonjour
Merci pour le conseil 
j'ai déjà scanné tous les ordis il non rien de plus je consulte mes mail avec une page internet ?et non un logiciel genre outlook
J'ai trouvé sur des forums étranger c'est pour dire l'ampleur de cette infection 
je pense que quelqu'un c'est procuré une liste d'authentifiants et il s'en sert donc si on est dans le lot on subit 
La solution est peut être, et d'après les infos de changer les authentifiants et d'utiliser des `&é"'(-è_çà)= pour le complique un peut 
sur ce a + @ 
merci

pimprenelle27 · Answer

Ok donc avec msnfix il n'a rien trouvé, fait moi donc ceci : 

Pour commencer :  faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner

Ensuite :

Télécharge le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Renomme Hijackthis en Tutu

Double-clique sur HJTInstall.exe (tutu)  pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la licence en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux (ne fixe rien pour le moment !!)

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

Matthour · Answer

Bonjour à tous.

Merci de vos réponses. Je n'ai pas eu le temps de faire ce que vous m'avez conseillé, j'essaie de faire ça demain.

Encore merci ! (et à demain j'espère).

pimprenelle27 · Answer

ok à demain.

Matthour · Answer

Me voici !
Voilà le résultat pour le premier PC : msnFix n'a rien trouvé, et je poste donc le rapport HijackThis.

J'ai lu sur le tutorial de msnFix qu'il faut commencer par changer de mot de passe. Je vais donc le faire de ce pas.

Je fait la manip sur l'autre PC. A desuite.

Merci pour votre aide !!!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:25:17, on 12/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
G:\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Matthour · Answer

Idem pour le deuxième PC, voici son rapport et encore merci de prendre de votre temps.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:42:56, on 12/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\ASUS\Wireless Console\wcourier.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Asus\Asus ChkMail\ChkMail.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe
C:\WINDOWS\system32\sol.exe
K:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [Wireless Console] C:\Program Files\ASUS\Wireless Console\wcourier.exe
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS ChkMail.lnk = C:\Program Files\Asus\Asus ChkMail\ChkMail.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

pimprenelle27 · Answer

Désolé mais pour le 2ème pc vaut mieux créer un autre sujet, car ça va être difficile de traiter les 2 en meêm temps.

Matthour · Answer

Pour le premier PC : rien avec GenProc ! Y a t'il quelque chose à faire avec le deuxième PC (si oui j'ouvre donc un deuxième post).


Rapport GenProc 2.523 [1] - 12/04/2009 à 17:23:42 - Windows XP 
 
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 


Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :  
- C:\Program Files\EsetOnlineScanner\log.txt

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

pimprenelle27 · Answer

on va s'occuper du 1er on verra le 2ème après ok.


Maintenant fais moi ceci :

Télécharge malwarebytes

NB : S'il te manque COMCTL32.OCX alors télécharge le ici

Tu l´installe; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; clic sur l´onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

Clic maintenant sur l´onglet recherche et coche la case : "exécuter un examen complet".

Puis clic sur "rechercher".

Laisse le scanner le pc...

Si des éléments on été trouvés > clic sur supprimer la sélection.

si il t´es demandé de redémarrer > clic sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l'onglet rapport/log


Tutoriaux

Matthour · Answer

Aucun objet n'a été trouvé et voilà le rapport :


Malwarebytes' Anti-Malware 1.36
Version de la base de données: 1970
Windows 5.1.2600 Service Pack 3

12/04/2009 19:27:06
mbam-log-2009-04-12 (19-27-06).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 149728
Temps écoulé: 1 hour(s), 16 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

pimprenelle27 · Answer

Ok maintenant fais ceci : 

Pour commencer :  faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner


Télécharge Superantispyware (SAS)



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Préférences, clique sur le bouton "Préférences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning  (Fermer Navigateur avant le scan)

Scan for tracking cookies  (Scan pour dépister les cookies)

Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.

Matthour · Answer

Voilà le résultat du scan (8 trouvés) :


SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 04/13/2009 at 09:53 AM

Application Version : 4.26.1000

Core Rules Database Version : 3840
Trace Rules Database Version: 1795

Scan type       : Complete Scan
Total Scan Time : 00:28:39

Memory items scanned      : 519
Memory threats detected   : 0
Registry items scanned    : 4862
Registry threats detected : 0
File items scanned        : 18106
File threats detected     : 8

Adware.Tracking Cookie
	C:\Documents and Settings\Paul & Béa\Cookies\paul_&_béa@smartadserver[2].txt
	C:\Documents and Settings\Paul & Béa\Cookies\paul_&_béa@ad.zanox[2].txt
	C:\Documents and Settings\Paul & Béa\Cookies\paul_&_béa@adtech[2].txt
	C:\Documents and Settings\Paul & Béa\Cookies\paul_&_béa@yourmedia[2].txt
	C:\Documents and Settings\Paul & Béa\Cookies\paul_&_béa@cetelem.solution.weborama[3].txt
	C:\Documents and Settings\Paul & Béa\Cookies\paul_&_béa@boursoramabanque.solution.weborama[2].txt
	C:\Documents and Settings\Paul & Béa\Cookies\paul_&_béa@xiti[1].txt
	C:\Documents and Settings\Paul & Béa\Cookies\paul_&_béa@weborama[1].txt

pimprenelle27 · Answer

Très bien, supprime ce que SAS à trouvé, ensuite fais moi ceci : 

Télécharger RemoveIT Pro

Fais un scan et poste moi le full rapport log.

A la fin du 1er scan, s'il demande de faire un scan complet dite oui et à la fin du 2ème scan, si virus trouvé cliquez sur fix pour nettoyer des virus trouvés.

Matthour · Answer

Re ! Désolé d'être long à la détente, mais je suis retourné à ma ville étudiante et je fait les opérations à distance (logmein).

Voilà donc le résultat de ce scan :

20:59:16: Scanning, please wait...
21:04:55: Infected file (Sys32.ov519cap) C:\WINDOWS\ov519cap.exe
21:04:55: Infected file (Sys32.ov519dib) C:\WINDOWS\ov519dib.dll
21:05:45: 2 Dangerous files have been found on your computer.
Click on "Fix" button to fix selected tasks.
21:06:02: Scanning, please wait...
21:07:32: Infected file (Sys32.ov519cap) C:\WINDOWS\Options\Install\OV519CAP.EXE
21:07:32: Infected file (Sys32.ov519dib) C:\WINDOWS\Options\Install\OV519DIB.DLL
21:06:02: 4 Dangerous files have been found on your computer.
Click on "Fix" button to fix selected tasks.

Matthour · Answer

Et voilà la suite après avoir fixé...

21:11:52: Cleaning please wait...
21:11:52: Cleaning Sys32.ov519cap
21:11:52: File cleaned C:\WINDOWS\ov519cap.exe
21:11:52: Cleaning Sys32.ov519dib
21:11:52: File cleaned C:\WINDOWS\ov519dib.dll
21:11:52: Cleaning Sys32.ov519cap
21:11:52: File cleaned C:\WINDOWS\Options\Install\OV519CAP.EXE
21:11:52: Cleaning Sys32.ov519dib
21:11:52: File cleaned C:\WINDOWS\Options\Install\OV519DIB.DLL
21:11:52 Cleaning process finished!
21:11:52: Cleaning process aborted!
If you wish Click on "Quick Scan" button to start scan again.

Matthour · Answer

et la fin après avoir fixé :

21:11:52: Cleaning please wait...
21:11:52: Cleaning Sys32.ov519cap
21:11:52: File cleaned C:\WINDOWS\ov519cap.exe
21:11:52: Cleaning Sys32.ov519dib
21:11:52: File cleaned C:\WINDOWS\ov519dib.dll
21:11:52: Cleaning Sys32.ov519cap
21:11:52: File cleaned C:\WINDOWS\Options\Install\OV519CAP.EXE
21:11:52: Cleaning Sys32.ov519dib
21:11:52: File cleaned C:\WINDOWS\Options\Install\OV519DIB.DLL
21:11:52 Cleaning process finished!
21:11:52: Cleaning process aborted!
If you wish Click on "Quick Scan" button to start scan again.

pimprenelle27 · Answer

Tu as pu les supprimer?

Télécharger AVPTool

La page qui vous accueille comporte en général les 12 dernières versions générées. Regardez attentivement l'heure et la date affichées dans le nom du logiciel pour déterminer celle qui est la plus récente. Téléchargez-la sans hésiter sur le bureau de votre PC. Double-cliquez dessus pour lancez l'installation.

Attention : AVPTool (tout comme d'autres outils du même acabit tels que Antivir, BitDefender Free, etc.) n'est pas une protection. C'est un détecteur et un nettoyeur d'infections déjà présentes sur le PC. Pour vous protéger efficacement contre les menaces modernes que sont les Drive-by Downloads, les Stage Downloads, les Banking Trojans, les Webstorms, il faut disposer d'authentiques suites de sécurité comme Kaspersky Antivirus 8.0 (KAV) ou Kaspersky Internet Security 8.0 (KIS).

AVPTool fonctionne sous Windows 2000, XP, Vista 32 bits. Il ne doit pas être utilisé sur des machines déjà équipées de KAV 8.0 ou KIS 8.0.

Matthour · Answer

J'ai refait un scan avec RemoveIT et il a encore trouvé 2 infections qu'il n'a pas pu supprimer et que j'ai donc fait manuellement :

22:06:26: Scanning, please wait...
22:11:43: Infected file (Sys32._iu14d2n) c:\docume~1\paul&b~1\locals~1	emp\_iu14d2n.tmp
23:23:04: 1 Dangerous files have been found on your computer.
Click on "Fix" button to fix selected tasks.
23:24:37: Scanning, please wait...
23:25:22: Infected file (Lock:Sys32._iu14d2n) C:\Documents and Settings\Paul & Béa\Local Settings\Temp\_iu14D2N.tmp
23:24:37: 2 Dangerous files have been found on your computer.
Click on "Fix" button to fix selected tasks.

23:27:35: Cleaning please wait...
23:27:35: Cleaning Lock:Sys32._iu14d2n
23:27:35: Cannot clean file.
23:27:35: Cleaning Lock:Sys32._iu14d2n
23:27:35: Cannot clean file.
23:27:35 Cleaning process finished!
23:27:35: Cleaning process aborted!
If you wish Click on "Quick Scan" button to start scan again.



avant de lancer le scan avec kapersky virus remove, j'ai mi a jour spybot, j'ai vacciné et j'ai scanné : 2 infections (right media et virtumonde).

je fais le test kapersky et je vous tiens au jus.

Matthour · Answer

le scan kapersky n'a rien trouvé

pimprenelle27 · Answer

Scan en ligne Kaspersky :

&#x25B6; Désactive ton antivirus

&#x25B6; Rends toi sur ce site : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (avec Internet Explorer uniquement)

&#x25B6; En bas à droite, clique sur Démarrer Online-scanner

&#x25B6; Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

&#x25B6; Accepte les Contrôle ActiveX

&#x25B6; Choisis Poste de travail pour le scan.

&#x25B6; Celui-ci terminé, sauvegarde le rapport (choisis fichier texte) et poste le dans ta prochaine réponse.

&#x25B6; Pour t'aider à utiliser le scan en ligne, consulte ce tutoriel

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Matthour · Answer

Re ! J'ai fait le scan Kapersky en ligne la semaine dernière et il me semble qu'il n'a rien trouvé j'avais posté un message mais j'étais pressé et n'ayant aucune nouvelle je suis revenu sur ce post : mon message n'a pas été publié !
Bref, ma première question été : est ce que cette intrusion publicitaire est due à des infections présentes dans un des ordis ou est ce possible qu'elle provienne d'une faille chez windows live mail ou messenger ??? A la vue de tous les scans que vous me faite faire, je pense donc que selon vous le pb est dans l'un des ordis... mais n'est-il pas plus radical de les reformater ? Au quel cas, je finis mes exams dans 4 semaines et je suis partis pour le reformatage des 2 PC, et ayant changé le mot de passe de mes parents, normalement ça devrais etre bon non ???

pimprenelle27 · Answer

juste pour ça pas besoin de reformater, s'il t reste 2 pc déjà passer un scan complet avec ton antivirus, ensuite me mettre quand même le scan kaspersky pour finir et ensuite un dernier hijackthis.

j.t.m.du_13@hotmail.fr · Answer

moi aussi j'ai eu le meme probleme un jour ma mere a recu un mail un peux cochon alors que c'etait de mon adresse puis un soir je mangait avec mes parrents et tout mes conctact a eu ce message

Www.epurchasenet.com pirate hotmail

28 réponses

Discussions similaires

Newsletters